如何从 Microsoft 更新目录手动导入（添加）更新到 WSUS？

并非 Microsoft 产品的所有修补程序、补丁和更新都可以在 Windows Server Update Services (WSUS) 控制台中安装。例如，您可能在 WSUS 设置中禁用了特定产品、Windows 版本或更新类的更新同步。此外，WSUS 控制台中没有旨在解决特定问题的更新，并且并不意味着在所有设备上进行批量安装。在这些情况下，您可以通过 IE 或 PowerShell 将 Microsoft 更新目录中可用的任何更新手动添加（导入）到 WSUS 或 SCCM（配置管理器）。

例如，我们希望将 KB3125574 更新添加到 WSUS 更新列表中（方便汇总更新，允许修复 wuauserv 的高 RAM 使用率问题）。

使用 Internet Explorer 将更新手动导入 WSUS

1. 打开WSUS控制台；

2. 在控制台树中，右键单击更新部分，然后选择导入更新；

   

3. 然后Internet Explorer将启动并自动转到Microsoft Update Catalog网页（https://catalog.update.microsoft.com/）；

   当您第一次在 IE 中访问该网站时，您必须安装 WSUS 的特殊 ActiveX 扩展。最好将 Microsoft 更新目录站点添加到受信任网站列表中。您可以使用以下命令注册此 ActiveX 组件：

   regsvr32 c:\Windows\SysWOW64\MicrosoftUpdateCatalogWebControl.dll

   

4. 通过搜索找到您需要的知识库，然后单击添加将其添加到购物篮中。一次选择的更新最好不要超过20-30个；

   

5. 然后点击查看购物篮将其打开；

6. 选中直接导入到 Windows Server Update Services 选项（如果此选项不可用，请确保您拥有 WSUS 服务器的管理员权限），然后单击导入；

   

7. 等待更新下载完毕（如果下载中断，请重试）；

   

8. 然后在 WSUS 控制台的所有更新部分找到下载的补丁。批准在所需的计算机组上安装更新（将计算机定位到 WSUS 组的最简单方法是通过 GPO）。

因此，来自 Microsoft 目录的任何更新都可以导入到 WSUS 服务器，包括驱动程序、服务包、功能包等。

将更新和驱动程序导入 WSUS 时出现错误

将更新导入到 Windows Server 2019/2016 上运行的 WSUS 时，您可能会收到错误：

This update cannot be imported into Windows Server Update Services. Cause: it is not compatible with your version of WSUS.

如果出现此类错误，您需要手动更改单击导入更新按钮后生成的URL。替换为网址

http://catalog.update.microsoft.com/…Protocol=1.20

到

Protocol=1.80

。

您应该得到类似以下链接的内容：

http://catalog.update.microsoft.com/v7/site/Home.aspx?SKU=WSUS&Version=10.0.14393.2248&ServerName=yourwsushost&PortNumber=8530&Ssl=False&Protocol=1.80

如果您收到失败状态（

Error Number: 80131509

) 将更新导入 WSUS 时，请在 WSUS 服务器上启用对 .Net Framework 版本 4.0 的 TLS 1.2 强加密支持。为此，请在注册表中将 SchUseStrongCrypto 参数设置为 1。在提升的 cmd 中运行以下命令：

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1

通过 PowerShell 将更新手动添加到 WSUS 中

您可以使用 PowerShell 将新更新添加到 WSUS 服务器。为此，您需要从 Microsoft 更新目录网站下载更新文件并获取其 GUID。

在 WSUS 控制台中找到所需的 KB，然后单击其名称。将打开一个包含更新描述的网页。从地址栏中复制 updateid 值，将 MSU 更新文件下载到本地磁盘。

从 PowerShell 控制台连接到 WSUS 服务器：

$WsusSrv = Get-WsusServer 

（如果您直接在 WSUS 服务器上运行 PowerShell 控制台）

$WsusSrv = Get-WsusServer -Name mun-wsus1 -PortNumber 8531 -UseSsl

（如果您远程连接到WSUS服务器）

现在您可以将下载的更新添加到 WSUS 控制台。使用以下导入命令：

$WsusSrv.ImportUpdateFromCatalogSite('UpdateGUID', 'Update.msu')

例如：

$WsusSrv.ImportUpdateFromCatalogSite('a5e40bf9-f1dc-4e6d-93e7-b62c6bf1ce3e', 'C:\Downloads\Updates\kb5005260.msu')

您可以检查更新是否已成功导入并显示相关信息：

$WsusSrv.SearchUpdates('kb5005260') | fl *

通过 PowerShell 导入 WSUS 更新时，可能会出现错误：

Exception calling “ImportUpdateFromCatalogSite” with “2” argument(s): “The underlying connection was closed: An unexpected error occurred on a send.”   
+ CategoryInfo          : NotSpecified: (:) [], MethodInvocationException
+ FullyQualifiedErrorId : WebException

这也是因为 PowerShell 正在尝试通过 TLS 1.0 协议建立连接，但该连接被 WSUS 服务器阻止。要解决该问题，请在 WSUS 服务器上添加 SchUseStrongCrypto 参数（并重新启动它）：

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1

之后，从 PowerShell 将更新导入到 WSUS 服务器将正常工作。